NEN7510 verschillen ISO27001
NEN7510:2024 (concept), verschillen met ISO27001:2022
De norm NEN7510, of preciezer NEN 7510-1:2017 krijgt een update NEN 7510-2:2024. Een concept NEN 7510:2024 is reeds gepubliceerd. Het is de norm m.b.t. informatiebeveiliging voor de zorg en afgeleid van de norm ISO27001:2022. Inhoudelijk zijn er bij enkele maatregelen (controls) verschillen, dan wel aanvullingen. De norm NEN7510 kent dus 2 delen. Het 1e deel gaat over de PDCA (Plan-Do-Check-Act) cyclus (vergelijkbaar met ISO 27001:2022, hoofdstukken 4 - 10) en het 2e deel gaat over de beheersmaatregelen, controls (vergelijkbaar met ISO 27001:2022, Annex A).
Let op: de NEN7510 gaat veranderen. Het concept NEN7510:2024 is al gepubliceerd!
Om tijdens de fase 1 - audit van een certificerende instantie als BSI, DEKRA, DNVGL of TüV niet meteen tegen een tekortkoming aan te lopen, is het wijs vooraf te weten welke documentatie nodig is. En wat de verschillen zijn met de ISO27001. Met onderstaande tabel is een overzicht van de verschillen en uitbreidingen gegeven. Praktisch om door te nemen, zeker als de organisatie een ISMS - Information Security Management System heeft gebaseerd op de ISO 27001. Beschouw het simpelweg als een checklist.
Voor wie is NEN7510
De norm NEN7510 is, zoals gezegd, bestemd voor de zorg. Dit zijn zorgorganisaties, maar ook organisaties die persoonlijke gezondheidsinformatie verwerken. Tot de laatste groep behoren leveranciers die applicaties met persoonlijke gezondsheidsinformatie hosten, software leveranciers van PGO's - Persoonlijke GezondheidsOmgevingen, ISP - Internet Service Providers met een relatie tot zorgapplicaties etc.
Voorbeelden - vragen
Een voorbeeld van een ISMS - Information Security Management System genoemd of wel managementsysteem voor informatiebeveiliging is hier te vinden: demo ISMS NEN 7510. Voor inhoudelijke vragen: bel ons even.
ISMS - Information Security Management System
We hebben een simpele oplossing om een ISMS op te zetten en -niet onbelangrijk- te onderhouden. Voor alle documenten, risico's en relevante beheersmaatregelen (control framework). Zet in 60 seconden onze cloudoplossing Proware op proef klaar, een simpele en innovatieve software tool voor het managementsysteem. Nog meer? Het duurt iets langer ... maar dan hebben we ook een eigen en geschikt voorbeeld, conform NEN7510:2017 (en straks NEN7510:2024) natuurlijk.
Eerst zien, bekijk dan onze video en demo’s op de productpagina.
Hieronder staat een overzicht (checklist) van de verschillen, aandachtspunten dan wel uitbreidingen NEN7510:2024 (concept) deel II versus ISO27001:2022
| |
NEN 7510:2024 deel II |
Beheersmaatregelen
|
Onderdeel
|
| - Organisaties moeten beschikken over een schriftelijk informatiebeveiligingsbeleid, goedgekeurd door hoogste management en minimaal 1x per jaar of na een ernstig incident |
II - 5.1 |
| - Tenminste één persoon moet verantwoordelijk zijn voor informatiebeveiliging |
II - 5.2 |
| - Taken en verantwoordelijkheden moeten worden gescheiden, indien haalbaar |
II - 5.3 |
|
- Ook informatiestromen en interfaces moeten worden geïnventariseerd, intern en extern
|
II - 5.9 |
| - Beleid voor retourneren van bedrijfsmiddelen moet er zijn inclusief een schriftelijke bevestiging (geretourneerd of verwijderd) |
II - 5.11 |
| - Classificatie van informatie: persoonlijke gezondheidsinformatie = vertrouwelijk |
II - 5.12 |
| - Vóórdat informatie wordt overgedragen moeten regels / procedures / overeenkomsten zijn geïmplementeerd |
II - 5.14 |
| - Toegangsbeleid voor persoonlijke gezondheidsinformatie moet beschikbaar zijn, rolgebaseerd |
II - 5.15 |
| - Toegang tot persoonlijke gezondheidsinformatie moet volgens een formele gebruikersregistratie |
II - 5.16 |
| - Risico's omtrent toegang externe partijen moeten worden geïdentificeerd, beoordeeld en maatregelen moeten zonodig worden genomen |
II - 5.19 |
| - Informatiebeveiligingseisen moeten worden geanalyseerd en gespecificeerd |
II - 5.38 |
| - Zorgontvangers moeten op unieke wijze zijn te identificeren |
II - 5.39 |
| - Getoonde, geprinte gegevens moeten zijn te valideren |
II - 5.40 |
| - Openbare gezondheidsinformatie: archiveren, integriteit beschermen en bron vermelden |
II - 5.41 |
| - Noodcommunicatiekanalen binnen een gezondheidsorganisatie: plannen, implementeren, onderhouden en beproeven |
II - 5.42 |
| - Informatiebeveiligingsincidenten moeten worden gemeld, conform wet- en regelgeving |
II - 5.43 |
| - In functieomschrijvingen rollen en verantwoordelijkheden vastleggen irt persoonlijke gezondheidsinformatie |
II - 6.2 |
| - Formeel de vertrouwelijkheid van informatie in stand houden |
II - 6.6 |
| - Versleutelen persoonlijke gezondheidsinformatie op verwijderbare media |
II - 7.10 |
| - 2FA (tweefactorauthenticatie) voor systemen met persoonlijke gezondheidsinformatie |
II - 8.5 |
| - Backups met persoonlijke gezondheidsinformatie versleutelen |
II - 8.13 |
| - Zero trust beginselen toepassen |
II - 8.35 |
|
|
|
Zie onze demo ISMS NEN 7510 voor meer informatie.
|
|
Gratis Live
QuickScan